¿Cómo evita ProcessBuilder la inyección de comandos del sistema operativo?

Question

¿Cómo evita ProcessBuilder la inyección de comandos del sistema operativo?

#1 de Tech Junkie (0 votos)

1

aunque entiendo que la inyección de comandos del sistema operativo debe tener la entrada no confiable para validarse, veo que la gente ha sugerido utilizar ProcessBuilder(...).start() sobre Runtime.getRuntime().exec(..) ; ¿Esto se debe a que ProcessBuilder no toma el comando para ejecutarse como una sola cadena?

java injection

pregunta Tech Junkie 02.02.2018 - 08:50

fuente

1 respuesta

Lea otras preguntas en las etiquetas java injection

¿Qué compañías antivirus comparten sus bases de datos de firmas? Se puede crear un ejemplo realmente simple

score 0 · Accepted Answer

0

Superé esta vulnerabilidad utilizando el método executeSystemCommand de ESAPI que parece estar usando ProcessorBuilder internamente después de validar la entrada.

respondido por el Tech Junkie 16.03.2018 - 17:48

fuente